Pandemie

Corona App — hoffentlich sicher zur nächsten Pandemie

von Sascha Kuhrau
14. Juni 20209. Dezember 2020

In unserem Beitrag vom 23.03.2020 zum Einsatz von mobilgerätebasierter Gesundheitsprävention haben wir berichtet, dass eine Corona App auch hierzulande geplant ist, sowie über Aspekte, die aus Datenschutzsicht sorgfältig zu prüfen und zu planen sind.

Mittlerweile wurde kurz vor der geplanten Veröffentlichung eine lauffähige Version der Corona App von TÜVit geprüft und es gibt Nachholbedarf. Gegenüber heise.de äußern die Prüfer u.a. Kritik an dem kurzfristigen Starttermin. Insgesamt habe man laut TÜVit wiederholt die (sogar kostenfreie) Prüfung angeboten und letztlich unter Zeitdruck durchführen müssen.

Angesichts dessen, dass inzwischen eine Lockerung und Anti-„Maulkorb“-Demo die andere jagt und seit mehr als 7 Jahren die drohende SARS-Pandemie und deren Bekämpfungsmethodik bekannt ist (Bundestagsdrucksache 17/12051 aus 2012 / 2013, Seiten 5, 55 ff. ), kann man hier nicht unbedingt von einem agilen Krisenmanagement sprechen.

Sicherheitsaspekte der neuen Corona App

Die Prüfung der Corona App erfolgte im Auftrag des BSI (Bundesamt für Sicherheit in der Informationstechnik) in Bezug auf Sicherheitsmaßgaben und Einhaltung der angekündigten Privatsphärestandards wie z.B. der Standortermittlung.

Eine Schwachstelle bestünde laut TÜVit darin, dass Patienten zwar verschlüsselt abspeichern können, positiv auf Corona getestet worden zu sein, um etwaige Kontakte mit Infizierten zu prüfen, die genutzte Verschlüsselungslogik jedoch fehlerhaft ist. So bestehe die Möglichkeit, einen Teil der Logik ohne größere Schwierigkeiten auszulesen, um beliebig Falschmeldungen infizierter Personen zu generieren.

Damit könnte die gesamte Datenhaltung und somit auch der angedachte Nutzen der App ad absurdum geführt werden und bewusst provozierte Fehlalarme noch größere Verunsicherung bei den Bürgern verursachen. Dieser Angriffspunkt ist in Fachkreisen seit geraumer Zeit bekannt.

Dass man bei derlei Umsetzungen gegen destruktiv motivierte IT-Expertise nicht hinreichend aufrüstet, sondern IT-Experten wie etwa Datenschutzaufsichtsbehörden als Bremser hinstellt, wenn diese begründete Sicherheitsbedenken anmelden, ist schwer nachvollziehbar.

Bereits vor der TÜVit Prüfung wurde der Quellcode veröffentlicht. Hier besteht insb. bei einem Multimillionen-Projekt keine Notwendigkeit. Dafür kann sich die Hackerszene schon einmal im Vorfeld einlesen. Andererseits wollte man gerade in Bezug auf die herrschenden Datenschutzbedenken mit größtmöglicher Transparenz reagieren.

Datenschutz und Privatsphäre

In Bezug auf die Privatsphäre lässt TÜVit Positives verlauten. Bei dem geprüften Entwicklungsstand der Corona App sei von Leaks nicht auszugehen und unerwartete Trackinglogik habe man in der Version nicht feststellen können.

Die Entwicklung und Sicherheitsdokumentation der Corona App wurde vom BSI u.a. durch Penetrationstests (Pentests) und Überprüfungen von Programmcode begleitet. Dabei konnten Schwachstellen gesichtet und seitens der Entwicklung behoben werden. Die Sicherheitsdokumentation kommt zu dem Schluss, dass die Corona App “alle für diese App zutreffenden Anforderungen aus der technischen Richtlinie TR 03161 – Sicherheitsanforderungen an Digitale Gesundheitsanwendungen” des BSI erfüllt. Und auch zukünftig wird die Weiterentwicklung der App vom BSI begleitet. Die zugehörige Pressemitteilung finden Sie hier.

Weitere Informationen zu Datenschutz- / technischen Aspekten liefert eine Studie aus dieser Woche (09.06.2020) der Unis Darmstadt, Marburg und Würzburg.

Prüfauftrag der Corona App war limitiert

Laut TÜVit wurde der Auftrag zur Durchleuchtung der Entwicklung auf bestimmte Bereiche begrenzt. Ausgenommen von der Prüfung waren Systemfeatures von Apple / Google und das Backend des eigentlichen Datenservers. Ferner sei die Verschlüsselungslogik für die auf dem Mobilgerät gespeicherten Daten nicht Gegenstand der Prüfung gewesen.

Fazit zum aktuellen Stand der Corona App

Das Vorgehen bei der Sicherheit der Corona App steht in Widerspruch zu dem Bestreben, Vertrauen in diesen Lösungsansatz zu stärken. Es stellt sich die Frage, ob nicht diejenigen, welche die Corona App gerne installieren, um sich und Mitbürger zu schützen, ohnehin mit gesundem Menschenverstand an Präventionsmaßnahmen herangehen, während anderen Anwendern ein weiterer Schritt in die Unmündigkeit vorgelegt wird, sich dann ggf. nur noch auf die App zu verlassen.

Intransparente technische Umsetzung in Kombination mit dem Aspekt der Freiwilligkeit und mäßigem Marketing lassen an einem positiven Effekt auf Verantwortungsgefühl und Infektionsrate nach derzeitigem Kenntnisstand zur Zeit leider noch zweifeln.

Intransparente technische Umsetzung in Kombination mit dem Aspekt der Freiwilligkeit en Effekt auf Verantwortungsgefühl und Infektionsrate nach derzeitigem Kenntnisstand zur Zeit leider noch zweifeln.

Corona App und Datenschutz — ein Update und viele Grüße

von Sascha Kuhrau
23. April 20209. Dezember 2020

Vor allem anderen möchten wir Sie liebe Leute, liebe Leser, liebe Kunden herzlich grüßen. Wir hoffen, dass es Ihnen und den Ihrigen gut geht und dass Ihr Einstieg in das Home-Office bzw. in die Corona bedingten Sondersituationen ok bis gut war. Abgesehen von den international schwierigen Zuständen in Pflege und Logistik — wie etwa das kollektive Maskenbasteln in Industrieländern — können insbesondere Ungewissheiten, subjektive Interpretationen und Ungenauigkeiten in Berichterstattungen dieser Tage schon ziemlich nerven. Wenn Sie also zu Corona, Corona App, Datenschutz oder Home-Office im Allgemeinen etwas schreiben möchten, nutzen Sie gerne das Kommentarfeld zu diesem Post.

Ihr Team von a.s.k. Datenschutz.

P.S. Wir sind gesund und munter und halten unsere Porsche Design Pyjamas modegemäß 😉 Wir freuen uns, Sie bald wieder zu sehen. Und wenn Sie sich zu Datenschutz etc. kurzfristig besprechen möchten, lassen Sie uns einfach gerne per Video Call in Verbindung treten.

App Lösungen gegen Corona

Um der Corona Pandemie besser Herr zu werden, sind verschiedene Ansätze für softwarebasierte Lösungen entwickelt worden, wie zum Beispiel die Konzepte DP-3T und PEPP-PT, die auf personenbezogene Daten zurückgreifen. Eine derzeit besonders prominente Variante ist das Contact Tracing, bei der man als Nutzer der zugehörigen App gewarnt wird, welche anderen App Nutzer im Umkreis x infiziert sein können. Die EU-Kommission befasst sich mit dem Thema.

EU-Kommission zu der Verarbeitung von sensiblen Daten und der Corona App

Der Datenschutzausschuss der EU-Kommission (EDPB) ist bestrebt, den Entwicklungsprozess von Apps und Software zur Corona Bekämpfung nach datenschutzgerechten Maßgaben zu fördern. In diesem Kontext hat der Ausschuss am Dienstag, den 21.04.2020 eine Richtlinie zum Einsatz von Ortungsdaten und Softwarelösungen / Apps, wie etwa zur personenbezogenen Kontaktnachverfolgung, herausgegeben, welche die nationalen Behörden und die Developer Einrichtungen adressiert.

Inhaltliche Anforderungen

Bei der Auswertung sensibler Daten und dem Einsatz von Corona Apps seien Zweckbindung, Transparenz und Datensparsamkeit unerlässlich — alles zentrale Postulate der DSGVO. In der auf Masse angelegten Analyse von Bewegungsdaten sei ein erheblicher Eingriff in die Freiheitsrechte zu sehen, daher sei hier das Prinzip der Freiwilligkeit (Abschnitt zu 2020-02) zu wahren.

Standortdaten seien grundsätzlich nicht zu erfassen, da sie für Mitteilungen über mögliche Infektionsketten nicht benötigt würden und ferner die Aufhebung der Anonymisierung erleichterten. Ferner sei eine Datenschutzfolgeabschätzung für den Einsatz solcher Apps durchzuführen und zu veröffentlichen.

Empfehlungen auch zu Gestaltung einer Corona App

Die App könnte über ein zentrales Serversystem betrieben werden mit restriktiven Zugriffsberechtigungen und geräteorientierten, nativen Sicherheitsmaßgaben. Es bestand große Uneinigkeit betreffend die Frage des zentralen oder dezentralen App-Betriebs. Der Schwerpunkt solle darauf gelegt werden, dass Daten eher lokal gespeichert werden.

Krisenbedingter Umgang mit sensiblen personenbezogenen Daten

Die Richtlinie definiert auch Ausnahmen für den Ermessensspielraum der nationalen Behörden, im Rahmen der Gesetzgebung Ausnahmen von DSGVO-Grundsätzen zu machen. So kann etwa das Erfordernis der Einwilligung für die Verarbeitung von Gesundheitsdaten entfallen, bzw. die Rechtsgrundlage durch Wahrnehmung einer Aufgabe des öffentlichen Interesses oder die Ausübung öffentlicher Gewalt gegeben sein.

Eine Corona App in der Praxis

Brillante Entwicklungen wie das Contact Tracing und die KI-basierte Auswertung von Daten zur intelligenten Gesundheitsvorsorge sind als wahrer Fortschritt in der notwendigen Digitalisierung zu sehen. Dass der konstruktive Erfolg indes mit der effektiven Ausführung in allen organisatorischen Ebenen steht und fällt, beschäftigt die Datenschutzexperten weltweit.

Fachleute wie die des EU-Ausschusses und der Datenschutzbehörde Schleswig-Holstein sehen den Erfolg dieses konkreten Projekts auch insbesondere vom Vertrauen des Anwenders in die professionelle Verarbeitung seiner Daten abhängig

Oft wird in diesem Kontext ausdrücklich darauf hingewiesen, dass der Datenschutz weder der Pandemiebekämpfung noch der Forschung im Wege steht.

Wie wir mit Corona in unserer Organisation umgehen (Tipps für den Arbeitsalltag)

von Sascha Kuhrau
16. März 2020
1 Kommentar

01.03.2020: Damit ging es los

Am 01.03.2020 haben wir nach eingehender interner Beratung im Team unsere Kunden dahingehend informiert, ab sofort bis auf Weiteres keine Außendienst-Aktivitäten bzw. Vor-Ort-Besuche mehr durchzuführen. Als Vielreisende wäre das Risiko recht hoch gewesen, uns selbst zu infizieren und möglicherweise bis zur Feststellung der Infektion noch viele weitere Menschen mit anzustecken. Diese Entscheidung hat uns vor nunmehr 2 Wochen einige grenzwertige Kommentare und teilweise auch ein bemitleidendes Lächeln eingebracht. Mittlerweile steht fest, wir haben zum Schutz unserer Mitarbeiter und deren Familien, aber auch unserer Kunden frühzeitig und richtig gehandelt. Wir wollen nicht verschweigen, es gab auch einige wenige Stimmen der Zustimmung und auch des Respekts, einen solchen Schritt durchzuziehen. Vielen Dank an dieser Stelle noch mal ausdrücklich dafür.

Alle Mitarbeiter der a.s.k. Datenschutz dürfen und können seither von zu Hause aus arbeiten. Die Anforderungen an die täglich zu erbringende Arbeitszeit sind auf unbestimmte Zeit aufgehoben. Und die Betreuung von Kindern und anderen hilfsbedürftigen Familienangehörigen hat vor dem Tagesgeschäft immer Vorrang. Die dafür notwendigen Freiräume kann sich jedes Teammitglied bei uns ohne Ab- bzw. Anmeldung nehmen.

Jetzt sind wir aufgrund unserer Unternehmensstruktur und Größe, aber auch unserer stark von Digitalisierung geprägten Arbeitsweise und einem unter anderem für Pandemien erstellten Notfallplan auf einen solchen Schritt gut vorbereitet gewesen. Wir sind mobiles Arbeiten gewöhnt, das technische Equipement ist vorhanden und für alle Mitarbeiter identisch. Schon immer haben wir auf eine moderne Projektplattform zur gemeinsamen Bearbeitung und Dokumentation von Aufgaben mit unseren Kunden gesetzt. Und mit Zooms sowie Microsoft Teams stehen zwei gerne und oft genutzte Videokonferenzplattformen zur Verfügung, über die auch ohne vor Ort zu sein, wichtige Angelegenheiten und Themen von Angesicht zu Angesicht, einzeln oder in Gruppen besprochen werden können. Die ersten Tage waren etwas holprig. Gerade für Kunden, die bisher mit dem Thema Videokonferenz keine Erfahrungen hatten oder generell “fremdeln”. Doch mittlerweile hat auch das sich neben Telefon und Email als alltägliches Kommunikationsmedium eingespielt. Ein kleiner Einblick in unsere Umsetzung und Erfahrungen:

Technik und Organisation im Home Office

Damit auch die Themen Datenschutz und Informationssicherheit in dieser Sondersituation nicht zu kurz kommen, haben wir uns unter anderem um folgende Punkte gekümmert bzw. deren Aktualität geprüft, wenn schon vorhanden:

Verschlüsselung aller Datenträger in mobilen Geräten und festen Arbeitsplätzen (wird bereits bei Beschaffung und Inbetriebnahme vorgenommen)
Installation und Einrichten von VPN auf allen Geräten (ebenfalls bereits bei Beschaffung und Inbetriebnahme erledigt)
Absicherung aller Accounts (intern und extern sowie auf den Geräten) neben Benutzername und Passwort mit Zwei-Faktor-Authentifizierung (Bestandteil der Account-Einrichtung)
Prüfen der Funktionsfähigkeit lokaler Backups via TimeMachine auf verschlüsselte externe SSD sowie zusätzlicher Backup-Routinen auf NAS-Systeme im Home Office (wird bei Erstkonfiguration bereits eingerichtet, mittels Fernwartung regelmäßig überprüft, ob alles sauber läuft)
Sicherstellen der automatischen Bildschirmsperre nach 2 Minuten (das Thema manuelles Sperren haben wir in einer Teamsitzung noch mal angesprochen)
Alle (mobilen) Geräte sind mit Sichtschutzfolien ausgestattet. Hilfreich für den häufigen Fall, das im Home Office kein separater Raum für die Tätigkeit vorhanden ist.
Richtlinie bzw. Regelungen zur Nutzung mobiler Arbeitsplätze bzw. Home Office (wird bei Einstellung erledigt). Wer hier noch nichts hat, RA Schwenke hat dazu einen recht flexiblen Generator erstellt
Regelungen zum Datenschutz im Home Office, sofern nicht in der zuvor genannten Regelung bereits enthalten (wird bei Einstellung erledigt). Der Ihnen sicher bekannte “Datenschutz-Guru” Stephan Hansen-Oest hat hier gerade ein Muster online gestellt, für diejenigen, die noch Bedarf haben
Verpflichtung Datenschutz für Mitarbeiter (wird bei Einstellung erledigt)
Schredder mit ausreichender Sicherheitsstufe für die Home Offices (wird normalerweise bei Einstellung erledigt, aber es hat uns doch glatt ein Gerät gefehlt)
Setzen von Prioritäten wie Bearbeitung von Datenpannen bei Kunden über separate Hotline-Nummer

Bei der Gelegenheit haben wir unsere Richtlinie zum Umgang mit Sicherheitsvorfällen aktualisiert, da dort das Thema Home Office bisher nicht konkret benannt wurde.

Seit 2 Wochen machen wir damit bereits sehr gute Erfahrungen. Bei dem einen oder anderen Kunden kommt es bei Videokonferenz noch zu Anlaufschwierigkeiten, da die Ports gerne mal in der Firewall gesperrt sind. Da hier sowohl für Zooms als auch Teams gute Anleitungen im Netz bereitstehen, ist das jedoch schnell gelöst.

Wer sich noch etwas weiter mit dem Thema befassen will, dem sei der BSI IT-Grundschutz nahegelegt. Unter anderem der Baustein OPS 1.2.4 Telearbeit umfasst eine gute Übersicht an Maßnahmen, die für die Einrichtung und den Betrieb von Home Office eine gute Grundlage bilden. Binden Sie auch Ihren Datenschutzbeauftragten und Informationssicherheitsbeauftragten ein, selbst wenn es jetzt vielleicht schnell gehen muss.

Soziale Aspekte des Home Office

Um die sozialen Aspekte im Team nicht zu kurz kommen zu lassen und damit auch niemand im Home Office vereinsamt, nutzen wir selbst intern ebenfalls sehr rege Chat und Videokonferenz. Wir haben spaßeshalber auch eine kleine Home Office Etikette erstellt:

Aufstehen, Zähne putzen, Kaffee. Hilft das nicht, dann noch mehr Kaffee
Am Heimarbeitsplatz ist eine gebügelte Jogginghose Pflicht
Pyjama ist nur mit Einhorn-Glitter oder Superman-Aufdruck zugelassen
Im Falle des Pyjama sollte Videokonferenz nur intern genutzt werden
Sofern einen die Familie zu Hause nicht auf Trab hält, gelegentlich mal aufstehen, sich bewegen, Pause machen
Achtung: Wenn Bewegung heißt Haus verlassen, dann noch mal prüfen, ob der Pyjama richtig sitzt
Wer das Wort “Hamstern” sagt, muss 10 Liegestütze vor laufender Kamera machen. Alternativ Lapdance.

Fazit

Wir sind uns bewußt, das wir aufgrund unserer Tätigkeitsfelder für eine solche Vorgehensweise Vorteile gegenüber vielen anderen Organisationen haben. Gerade Einrichtungen aus dem Bereich der öffentlichen Versorgung können ihre Mitarbeiter nicht einfach ins Home Office schicken.

Home Office ist jedoch machbar. Der aktuelle Stand der Technik erlaubt ein sicheres Arbeiten von zu Hause aus. Vielleicht können wir mit dem kurzen Einblick in unsere Vorgehensweise die eine oder andere Anregung und Tipps liefern, wie und was — auch kurzfristig — umsetzbar ist und auf was man so alles achten sollte (ohne Anspruch auf Vollständigkeit und sicher nicht auf jede Organisation 1:1 anwendbar). Denn auch wenn “Ausnahmezustand” herrscht: Die Themen Sicherheit, Datenschutz aber auch das menschliche Miteinander sollten nicht zu kurz kommen.

Danke an all die fleißigen und unermüdlichen Helfer, die aktuell überall für den Rest der Gesellschaft die Stellung halten, sei es im Gesundheitswesen, im Handel, der Versorgung, öffentliche Sicherheit und und und … Ohne sie wären wir alle aufgeschmissen.

Pandemie

Coro­na App — hof­fent­lich sicher zur nächs­ten Pandemie

Sicher­heitsaspek­te der neu­en Coro­na App

Daten­schutz und Pri­vat­sphä­re

Prüf­auf­trag der Coro­na App war limi­tiert

Fazit zum aktu­el­len Stand der Coro­na App

Coro­na App und Daten­schutz — ein Update und vie­le Grüße

App Lösun­gen gegen Coro­na

EU-Kom­mis­si­on zu der Ver­ar­bei­tung von sen­si­blen Daten und der Coro­na App

Inhaltli­che Anfor­de­run­gen

Emp­feh­lun­gen auch zu Gestal­tung einer Coro­na App

Kri­sen­be­ding­ter Umgang mit sensi­blen per­so­nen­be­zo­ge­nen Daten

Eine Coro­na App in der Pra­xis

Wie wir mit Coro­na in unse­rer Orga­ni­sa­ti­on umge­hen (Tipps für den Arbeitsalltag)